Sind vernetzte Fahrzeuge auf Kollisionskurs mit der Netzwerksicherheit?

Sieht man sich die Veröffentlichungen für Verbraucher an, in denen Fahrzeuge bewertet werden, so findet man sämtliche Kennzahlen, die man erwartet – angefangen von Sicherheit und Leistung (Beschleunigung, Bremsverhalten usw.) über Komfort und Bequemlichkeit bis hin zur Wirtschaftlichkeit des Kraftstoffverbrauchs. Angaben dazu, wie hoch das Risiko eingeschätzt wird, dass das Fahrzeug per Fernzugriff gehackt wird, findet man nicht. Sollten Sie zufällig einen 2014er Jeep Cherokee oder einen 2015 Cadillac Escalade fahren, wäre ihr Fahrzeug im Verbrauchermagazin Consumer Reports wegen seiner Internetsicherheit wahrscheinlich mit nur einem Stern beurteilt worden – leider. Diese Fahrzeuge wurden neben 22 anderen mit Netzwerkfunktionen ausgestatteten Fahrzeugen von den Forschern Charlie Miller und Chris Valasek während der Black Hat 2014 zu Beginn des Monats vorgestellt. Sie warnten davor, dass ein hinterhältiger Angreifer sich in ein vernetztes Fahrzeug hacken und dann alles machen könnte, was er wollte – angefangen von „der Einschaltung eines Mikrofons zu Abhörzwecken über das Drehen des Steuerrades bis hin zur Blockierung der Bremsen“. Einige Zeit später, während der Hacker-Konferenz DefCon, schlug eine Gruppe von Sicherheitsforschern, welche sich selbst „I Am The Cavalry“, zu Deutsch: Wir sind die Kavallerie, nannten, ebenfalls Alarm. Sie forderten die Automobilindustrie eindringlich zum Einbau von sichereren Computersystemen in Fahrzeuge auf. Die Warnung kommt Jahre, nachdem Automobilhersteller damit anfingen, vernetzte Fahrzeuge zu testen. Dazu zählt vor allem Ford. Bereits 2010 testete das Unternehmen Fahrzeuge ausgestattet mit „MyFord Touch“, einem mobilen WLAN-Hotspot. Seither hat Google das Sagen bei den vernetzten Fahrzeugen. Seit Jahren schon gibt es Gerüchte über Googles Bemühungen, selbstfahrende Autos zu produzieren. Und die Gerüchte vermehrten sich, als Google den Leiter der Android-Abteilung Andy Rubin in die Roboter-Abteilung des...

Black Hat 2014: „BadUSB“-Malware hinterlässt bitteren Nachgeschmack

Würden auf der Black Hat 2014 Preise verliehen, hätte eine Nominierung für die Kategorie „Exploit of the Conference“ den Wettbewerb bestimmt auf Anhieb gewonnen: das „BadUSB“-Exploit. Forscher Karsten Nohl und Jakob Lell sorgten für ziemliche Aufregung in Las Vegas, als sie zu Beginn des Monats zeigten, wie USB-Geräte umprogrammiert und in portable Malware-Träger transformiert werden können. Diese Nachricht verbreitete sich in Windeseile auch im Rest der Cybersecurity-Welt. Nohl und Lell erklärten, dass Hacker die Umprogrammierbarkeit von USB-Geräten ausnutzen und ein Gerät als ein anderes ausgeben könnten. In einem Beispiel konnte ein Hacker ein USB-Gerät so umprogrammieren, dass es die Funktion einer Tastatur übernahm. Damit konnte er dann Befehle an den Computer senden oder Malware installieren. Möglicherweise ist das Schlimmste dabei, dass ein Nutzer keinen Einblick in die auf dem USB-Gerät installierte Software hat. Daher gibt es keine Möglichkeit herauszufinden, ob das Gerät manipuliert worden ist. In den falschen Händen ist ein BadUSB-Gerät wahrlich „erschreckend unsicher“, wie Nohl es ausdrückt. USB-Geräte: Immer wieder greifen sie die Internet-Sicherheit an Lange vor der Black Hat 2014 war weithin bekannt, dass USB-Geräte nicht das sicherste Medium für den Datentransfer zwischen Geräten sind. Komfortabel? Ja. – Sicher? Nein. USB-Geräte können nicht nur leicht verlorengehen: Jedes Gerät mit USB-Schnittstelle könnte auch von Malware befallen sein, welche von einem USB-Gerät wie beispielsweise einem Laptop oder einem Telefon stammt. Bereits im Juli 2011 fand das Ponemon-Institut heraus, dass in 70 Prozent der Unternehmen Datenverstöße auf USB-Geräte zurückgeführt werden konnten. Selbst die NSA erachtete USB-Geräte als nützlich für Spionagezwecke. Im Dezember 2013 stellte sich heraus, dass die Behörde eine Reihe von USB-Implantaten – kleine Wanzen bekannt als COTTONMOUTH...

Backoff: Höchste Zeit für Einzelhandelsunternehmen, Angriffen einen Riegel vorzuschieben

Wieder passiert es: Laut einer Warnung des U.S. Department of Homeland Security könnten Einzelhandelsunternehmen abermals Opfer böswilliger Akteure werden. Weniger als ein Jahr, nachdem die Hacker-Angriffe auf Target und Neiman Marcus die Aufmerksamkeit der Regierungsermittler sowie der gesamten Nation erregten, befasst sich der Heimatschutz erneut mit einem Angriff auf die Einzelhändler. Diesmal heißt der Schuldige „Backoff“. Damit lassen sich Kassensysteme im Einzelhandel steuern und kontrollieren. Auf diese Weise erhalten Hacker freien Zugriff auf Kreditkartennummern und andere Informationen von Kunden wie etwa E-Mail-Adressen und Telefonnummern. Laut Aussage des Department of Homeland Security können Angreifer auf diese Art POS-Systeme über Remote-Desktop-Anwendungen wie beispielsweise LogMeIn, Join.Me und andere ähnliche Lösungen von Microsoft, Apple und Google, manipulieren und mittels Brute-Force-Angriffen POS-Malware einschleusen. Sobald sie die Kontrolle über den Desktop haben, können die Hacker rücksichtslos tun, was sie wollen. Varianten von Backoff-Angriffen konnten sogar bis zum Oktober letzten Jahres zurückverfolgt werden. Vermutlich sind bereits bis zu 600 Einzelhandelsunternehmen betroffen. Was ist besser: der Download eines VPN-Clients oder die Installation eines Remote Desktop? In der vom Department of Homeland Security herausgegebenen Veröffentlichung werden eine Reihe von Lösungen für die Netzwerksicherheit genannt, welche Einzelhandelsunternehmen zur Minderung des Risikos eines Backoff-Angriffs einsetzen können. Diese sind mehr oder weniger effektiv. Als Erstes wird den Einzelhändlern vorgeschlagen, ihren Remote-Desktop-Client so zu konfigurieren, dass Nutzer oder IP-Adressen nach mehrfach fehlgeschlagenen Login-Versuchen gesperrt werden. Im Allgemeinen, jedoch nicht immer, können hierdurch Brute-Force-Angriffe wie Backoff verhindert werden. Problematisch ist, dass die Zugriffsverweigerung nur eine temporäre Lösung ist. Wir haben bereits zuvor gesagt und wiederholen es hier noch einmal: LogMeIn ist keine sinnvolle Virtual Private Network (VPN)-Alternative. Remote-Desktop-Lösungen schaffen eine Umgebung, in welcher...

Schlechte Kommunikation führt zur Niederlage in der Schlacht um die Netzwerksicherheit

Im September 1862 machte das 27th Indiana Infantry Regiment, welches sich in der Nähe von Frederick, Maryland befand, eine Entdeckung, die den Verlauf des amerikanischen Bürgerkriegs hätte verändern können. Es begann ganz unspektakulär: Zwei Soldaten fanden drei Zigarren, zusammengehalten von einem unscheinbaren Stück Papier. Es war nichts Außergewöhnliches daran. Dann jedoch erkannten die Soldaten, dass es sich bei dem Dokument eigentlich um einen Schlachtplan der Konföderierten handelte. Daraufhin reagierten die Soldaten schnell: Sie leiteten den Schlachtplan bis zur obersten Stelle der Befehlskette weiter, bis hin zum Oberbefehlshaber der Union General George B. McClellan. Laut Aussage von Historikern hätte dieser die Informationen verwenden können, um „die gegnerische Armee Stück für Stück zu vernichten“. Dennoch benötigte McClellan 18 Stunden, um zu handeln. Als er schließlich mit der Offensive gegen die konföderierten Kräfte begann, hatte General Robert E. Lee genügend Zeit gehabt, um seine Einheiten zu mobilisieren und einen Angriff aufzuhalten. Die Macht der Information In Kriegszeiten kann eine Information genauso vorteilhaft für eine Partei sein wie die Größe einer Armee oder die zur Verfügung stehenden Waffen. Das gilt zumindest, sofern diese Information korrekt ist, an die richtigen Stellen weitergeleitet wird und dann schnell entsprechende Maßnahmen ergriffen werden. Im Fall von McClellan passte alles, bis auf den Schritt „entsprechende Maßnahmen ergreifen“. Heute befinden sich IT-Sicherheitsexperten in ihrem Kampf gegen die Bedrohungen für die Internet-Sicherheit in einer ähnlichen Situation. Beständig sammeln sie Informationen über Bedrohungen von sensiblen Unternehmensdaten. Auch wissen sie, wie Schwachstellen beim Remote Access von Angreifern ausgenutzt werden könnten. Die Stelle, an der sie versagen, beziehungsweise, an der ihre „befehlshabenden Offiziere“ (die Teams der Führungskräfte) versagen, ist die Weiterleitung der Information...